01/09/2012 - 0:00
A maior sabotagem cibernética entre nações foi descoberta em 2010, mas já aconteceram outras. Por meio de códigos maliciosso é possível monitorar computadores e causar pane em governos, instalações industriais, centrais nucleares e bancos.
Foi-se o tempo em que um ciberataque significava um grupo de hackers sobrecarregar um site de empresa ou de governo para tirá-lo do ar. Hoje, as ofensivas do mundo virtual são mais perigosas, dando a um país o poder de controlar remotamente vastos mecanismos de outro, deflagrando graves acidentes com impactos 100% reais.
Nenhuma guerra foi oficialmente declarada, mas as sabotagens virtuais estão se multiplicando como expressão da uma guerra fria que se julgava extinta. Em junho, o jornalista David Sanger, do The New York Times, publicou o livro Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power (“Confronto e Dissimulação: Guerras Secretas de Obama e o Surpreendente Uso do Poder Americano”), que revela que o malware Stuxnet, descoberto em 2010 – um dos códigos maliciosos mais perigosos já conhecidos –, liderou um ataque conjunto dos Estados Unidos e de Israel contra o programa nuclear iraniano.
“Jogos Olímpicos” era o codinome dessa operação secreta que começou no governo de George W. Bush e que foi continuada pelo presidente dos Estados Unidos, Barack Obama, mesmo após sua descoberta. Nas semanas após o aparecimento e a proliferação do Stuxnet na internet, uma onda de ataques virtuais atingiu entre mil e 5 mil centrífugas da usina de enriquecimento de urânio de Natanz, no Irã, denunciou Sanger.
Quantas ciberarmas estão por aí, espionando e sabotando, é impossível saber. Mas, aos poucos, elas aparecem. É o caso do Flame, vírus complexo descoberto em maio pela empresa russa de segurança Kaspersky. O malware é um programa de espionagem capaz de ativar câmeras e microfones de computadores para gravar conversas, coletar e apagar dados. Também pode detectar vulnerabilidades, desativar sistemas de segurança, causar problemas em programas e desabilitar sistemas operacionais. Como seu código apresenta semelhanças com o Stuxnet – tais como o módulo “Recurso 207”, que permite ao ataque se propagar por meio de dispositivos USB como pendrives –, os especialistas afirmam que os dois malwares podem estar relacionados. Quem criou o Flame pode ter feito também o Stuxnet ou, pelo menos, ajudado a elaborar parte do seu código. É bom lembrar que as duas ciberarmas tinham um alvo em comum: o Irã. O Stuxnet atacou os centros nucleares de Natanz e o Flame atingiu a indústria petrolífera no Golfo Pérsico.
“Uma das razões de as duas serem perigosas e complexas é apresentarem a capacidade de não ser detectadas por nenhum antivírus”, contou Dmitry Bestuzhev, diretor da equipe de analistas da Kaspersky, à PLANETA. Estima-se que o Stuxnet tenha sido feito em 2009 e descoberto em 2010. Já o Flame parece ser mais antigo, com pelo menos dois a cinco anos de atividade antes de ser detectado. Ambos vieram à tona por terem se espalhado pela internet. Se tivessem ficado “presos” nos sistemas-alvo do Irã, talvez até hoje não se soubesse deles.
Ciberativismo
Não há declaração oficial de guerra, mas isso não significa “paz”. É inegável que alguns países têm investido para proteger setores específicos de potenciais inimigos virais. Em Brasília, o Ministério da Defesa do Brasil acaba de criar o Centro de Defesa Cibernética, comandado pelo general José Carlos dos Santos, que conta com orçamento de R$ 85 milhões. Até 2015 o centro deverá contar com 130 militares e especialistas. Especial atenção será dada às conexões das redes de infra-estrutura e à rede mundial de cabos submarinos, por onde trafegam grandes fluxos de informação. Nos Estados Unidos, o Congresso votará leis específicas para ciberataques até o fim do ano. Calcula-se que o roubo de propriedade intelectual corporativa, via hackers, já chegue a US$ 1 trilhão por ano no país.
Há muito hacker que não é cracker, sinônimo de criminoso. Na realidade, os especialistas em informática vêm ocupando grande espaço na mídia com ativismo político, como é o caso do grupo Anonymous e do recente ataque ao site do The New York Times deflagrado pelos militantes do Wikileaks, em protesto contra o papel do jornal na perseguição sofrida pelo seu líder Julian Assange.
Diferentemente do ativismo, a ciberguerra seria um conflito entre Estados por meio de ciberarmas. Em uma palestra realizada em maio na Faculdade de Dartmouth, nos Estados Unidos, Gary McGraw, diretor-técnico da empresa de consultoria Cigital, especializada em segurança de software, definiu ataques virtuais no contexto de guerra como aqueles que “têm impacto real” ou atuam como reforço em um conflito armado., gerando panes, apagões e blackouts. Durante a invasão russa da Geórgia, em 2008, foram lançados ciberataques para derrubar sites que noticiassem a invasão e também sistemas bancários.
Risco Stuxnet
O Stuxnet é um marco na história.Pela primeira vez, surgiu um malware capaz de controlar a velocidade das centrífugas do centro de enriquecimento de urânio de Natanz e de enganar o seu sistema de segurança digital Siemens. O alemão Ralph Langner, consultor de segurança que decodificou o Stuxnet, considerou assombroso o fato de as alterações de velocidade comandadas nas máquinas terem sido graduais e bem disfarçadas.
Para enganar o sistema de segurança, o Stuxnet fez algo parecido com os roubos hollywoodianos, em que o ladrão coloca um vídeo pré-gravado na câmera de vigilância: gravou a operação das centrífugas e exibiu-a de volta para simular funcionamento normal, enquanto as máquinas infectadas pelo vírus eram aceleradas. “Os operadores da usina ficaram perdidos”, relata David Sanger. “Não houve sinais de luz,nem alarmes, nem telas girando freneticamente. Mas todos na usina sentiram – e ouviram – que as centrífugas haviam enlouquecido.”
O perigo não é só enganar operadores de uma sala de controle a milhares de quilômetros de distância, mas privar uma central nuclear de segurança digital. “Precisamos de sistemas digitais de segurança eficientes em situações em que um operador humano não seja capaz de agir rápido. Uma usina elétrica, quando uma turbina de vapor entra em velocidade excessiva, exige a abertura das válvulas de alívio em um milissegundo”, explicou Langner. Sem essa medida “automática” de segurança, há grande probabilidade de explosão.
Apesar de ter sido projetado para um alvo específico, o ataque do Stuxnet foi copiado e direcionado a outras usinas, replicando no Paquistão e na Indonésia. O mundo é cada vez mais dependente de energia e computação. Quantas mais tecnologias se tornarem necessárias, mais defesas precisarão ser desenvolvidas. Diferentemente de uma arma de fogo, que precisa de uma equipe e de recursos vultosos para ser construída, as ciberarmas podem ser feitas em sigilo. Podem ser refeitas, lapidadas e relançadas. Basta imaginar que, se o Stuxnet não tivesse sido contido a tempo, a central nuclear iraniana poderia ter explodido.
Provavelmente surgirão versões mais sofisticadas, diz Langner. Em março, a empresa norte-americana de segurança Symantec revelou uma nova versão do Duqu, um vírus descoberto em 2011 que rouba dados sigilosos e apresenta similaridades com o Stuxnet. Os especialistas da empresa afirmam que o novo Duqu foi compilado em 23 de fevereiro. Novos ataques estão por vir, embora não se saiba, ainda, os objetivos e alvos. As empresas de segurança de informática já estão em alerta.
“Os criadores dessas ameaças aprenderam com a prática e com os nossos artigos sobre os erros dos seus códigos. Eles tentarão fazer coisas melhores, mais assustadoras, sofisticadas e mais perigosas”, reflete Bestuzhev, da Kaspersky. Vale reiterar que sempre que uma ciberarma vem a público e tem o seu código exposto outras pessoas – sejam agentes do governo ou não – podem copiar. É questão de tempo até que novos ataques voltem a aparecer.
Qual a melhor defesa?
Quando se trata de guerra no ciberespaço, nem sempre o ataque é a melhor defesa. Embora muitos países invistam na corrida armamentista cibernética, pouco se preocupam com a defesa. “Ninguém no mundo, nem mesmo os EUA, está preparado para esses tipos de ataques. Trata-se de um perigo para todas as nações”, alerta Bestuzhev. O presidente do Irã, Mahmoud Ahmadinejad, já estabeleceu um exército de hacksers para se defender.
McGraw, especialista em segurança de software, critica os governos por se preocuparem mais em atacar do que defender. “Temos de ser cuidadosos ao lançar uma ciberarma, uma vez que todos vivemos em casas de vidro. Não deveríamos sair atirando pedras por aí.” Métodos tradicionais de proteção, como antivírus e firewalls, não bastam. A chave é tornar a questão de segurança relevante durante a construção do software. “Muita gente diz que o Stuxnet é sofisticado. Mas está errado”, diz McGraw. “A ofensiva contra o sistema da Siemens em Natanz não é novidade. Há ataques desse tipo no mundo há 15 anos. É importante enfatizar que ele não foi desenvolvido levando em conta a segurança e, por isso, se tornou vulnerável ao vírus”, explica.
Para McGraw, o alarme se justifica e as empresas privadas e bancos multinacionais já estão construindo sistemas mais seguros para se proteger. O que acontece é que quando se constrói um software delega-se a questão da segurança a uma empresa especializada. Assim, ele acaba cheio de “brechas” por onde os malwares podem entrar. É como ter uma casa de palha com muros de pedra em um ataque de mísseis teleguiados. Mesmo que os muros sejam fortes, no mundo virtual é possível invadir por todos os lados e alguns vírus podem ultrapassar barreiras sem ser detectados. Por esse motivo, vale a pena investir na construção de um software realmente mais seguro.
Um exemplo positivo é a Microsoft, que em 2000 sofreu ataques que revelaram quão frágeis eram seus softwares. Após dez anos de estudo e de compartilhamento de conhecimento, houve progresso em termos de segurança. Os bancos e instituições financeiras sediadas na City, em Londres, também evoluíram notavelmente.
Há muito para avançar em segurança de software. McGraw lidera o grupo de pesquisa The Building Security In Maturity Model, do qual participam 50 empresas. “Nosso foco é construir a segurança na hora de desenvolver o software, tornando os sistemas mais difíceis de atacar. Dá para evitar o ataque”, explicou à PLANETA. O que precisa ser feito é pegar as ideias que deram certo e aplicá-las nos sites do governo, no exército e nos sistemas de controle dos quais as sociedades dependem, como redes de eletricidade e telefones móveis. Já há quem sugira a criação de uma Organização Internacional de Cibersegurança, na ONU.
A blindagem virtual parece impossível, mas pode demorar menos do que se imagina. “Graças à mudança tecnológica veloz temos a oportunidade de construir um sistema melhor para a próxima geração”, diz McGraw. Não dá para prever os ciberataques que estão por vir, mas sistemas cheios de pontos penetráveis serão facilmente atacados. “Temos de defender a ideia de construir softwares seguros. Isso diminuirá os riscos de uma ciberguerra. Se não mudarmos, eles serão alvos muito vulneráveis e ela será inevitável.”
